Blog de Pablo Caceres

Ya está publicado el WSUS 3.0 SP1.

Algunas de las características principales:

• Soporte para Windows 2008 y SQL 2008
• Reporte por máquina (con posibilidad de importarlo a un excel)
• Mejoras en aprobación masiva

Pueden descargarlo desde el siguiente enlace:

http://www.microsoft.com/downloads/details.aspx?FamilyId=F87B4C5E-4161-48AF-9FF8-A96993C688DF&displaylang=en

Para minimizar el esfuerzo administrativo a la hora de configurar los clientes de WSUS, podemos usar la política “Habilitar que el cliente pueda ser un destino” (Enable client-side targeting) esto hace que el cliente por si mismo se agregue a un grupo en el WSUS.

Para ello debemos tener un entorno con Active Directory. Veamos la siguiente figura a modo de ejemplo. En la misma vemos que tenemos una OU para las computadoras de escritorio (Desktops). Esta OU tiene otra OU que indica el país (AR) la que está dividida en CA y FLD (dos locaciones) y cada una de ellas en los tipos de Sistemas Operativos que puede haber instalado en los clientes (2000, XP y Vista).

Si vemos que políticas tenemos enlazadas en cada OU, vemos que FLD tiene FLD WSUS WKS y XP (dentro de FLD) tiene la FLD WSUS WKS XP.

Con FLD WSUS WKS definimos donde está ubicado el servidor de actualizaciones y como se comportará a la hora de la detección e instalación de las mismas.

Con FLD WSUS WKS XP definimos que cualquier dispositivo que se agregue a la OU DesktopsARFLDXP tendrá como identificador de grupo el nombre XP.

Como último paso, tenemos que configurar el servidor para que acepte el autoagrupamiento. Para eso lanzamos la consola del WSUS y nos aseguramos que exista un grupo llamado XP y este ubicado bajo Computers -> All Computers.

Luego, en el árbol de la derecha, seleccionamos Options y en el panel del medio elegimos Computers.

En el ventana que aparece elegimos la opción Use Group Policy or registry settings on computers y pulsamos OK.

De esta forma, cuando agreguemos un cliente a la OU DesktopsARFLDXP automáticamante se incluira dicha computadora en el grupo correspondiente del WSUS.

Cuando agregamos un cliente al WSUS, tenemos que esperar a que pase el tiempo de detección para que se actualize el nuevo cliente.

Existe una forma que para minimizar ese tiempo. Para ello abrimos una consola de comandos. Detenemos el servicio ejecutando el siguiente comando:

net stop wuauserv

Luego borramos la clave del registro donde está configurado cuando es el próximo tiempo de detección:

REG DELETE “HKLMSOFTWAREMicrosoftWindowsCurrentVersionWindowsUpdateAuto Update” /v NextDetectionTime /f

Arrancamos el servicio:

net start wuauserv

Forzamos la detección de las actualizaciones:

wuauclt /detectnow

Ya tenemos configurado el servidor de actualizaciones (ver artículo WSUS 3.0 – Topologia Front / Back), ahora le toca a los clientes. La forma en la que podemos configurarlos depende si nuestro entorno tiene Active Directory o no. Veamos que opciones tenemos:

Con Active Directory

• Group Policy (políticas de grupo)

Sin Active Directory

• Local Group Policy (políticas de grupo local)
• Editar la registry (registro) (menos aconsejada)

En la figura de abajo se observa el editor de políticas de grupo (GPO Editor) posicionado sobre la plantilla de Windows Updates

1- Permitir la instalación inmediata de Actualizaciones automáticas (Allow Automatic Updates inmediate installation) . Para aquellas actualizaciones que no interrumpan los servicios de Windows o no requieran reinicio.

Habilitada (Enabled): se instalarán inmediatamente una vez que hayan sido bajadas y estén listas para instalar.

Deshabilitada (Disabled): las actualizaciones no serán instaladas inmediatamente.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

2- Permitir que los usuarios que no sean administradores reciban notificaciones (Allow non-administrators to receive updates notifications)

Habilitada: AU notificará a cualquier usuario logueado.

Deshabilitada: AU solo notificará solo si el usuario es administrador.

No configurada: idem a deshabilitada.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

3- Frecuencia de detección de Actualizaciones automáticas (Automatic Updates detection frequency)

Habilitada: AU chequea por actualizaciones disponibles según el intervalo especificado (1 a 22 horas).

Deshabilitada: AU chequea por actualizaciones disponibles cada 22 horas.

No configurada: idem a deshabilitada.

Debe estar habilitada la política “Especificar la ubicación del servicio Microsoft Update en la intranet”

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

4- Configurar actualizaciones automáticas (Configure Automatic Updates). Especifíca si la computadora recibirá las actualizaciones a través del servicio de actualizaciones automáticas.

Habilitada: según la opción elegida (2, 3, 4 o 5) las actualizaciones tendrán un comportamiento específico.

Deshabilitada: las actualizaciones deberán bajarse e instalarse manualmente.

No configurada: el uso de AU no está especificado por políticas.

5- Demorar el reinicio para las instalaciones programadas (Delay Restart for scheduled installations).

Habilitada: el reinicio se llevará a cabo n minutos después que la instalación termino.

Deshabilitada: el reinicio ocurrirá a los 5 minutos.

No Configurada: idem a deshabilitada.

Solo se aplica si las Actualizaciones Automáticas están configuradas para realizar una instalación programada.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

6- No ajustar la opción predeterminada a “Instalar actualizaciones y Apagar” (Do not adjust default option to “Install Updates and Shut Down” in Shut Down Windows dialog box)

Habilitado: la última opción elejida por el usuario será la que aparezca en las opciones de apagar.

Deshabilitado: “Instalar actualizaciones y Apagar” será la opción prederterminada que aparecerá si hay actualizaciones listas para ser instaladas al momento de apagar la computadora.

No configurado: idem a deshabilitada.

7- No mostrar la opción “Instalar actualizaciones y Apagar” en el cuadro de Apagar (Do not display “Install Updates and Shut Down” option in Shut Down Windows dialog box)

Habilitado: no aparecerá la opción “Instalar actualizaciones y Apagar” en las opciones de apagar.

Deshabilitado: aparecerá la opción si hay actualizaciones listas para ser instaladas al momento de apagar la computadora.

No configurado: idem a deshabilitada.

8- Habilitar que el cliente pueda ser un destino (Enable client-side targeting).

Habilitada: la computador se identificará como miembro de un grupo en el WSUS.

Deshabilitada: la computadora no se identificará.

No configurada: idem a deshabilitada.

Si la política Especificar la ubicación del servicio Microsoft Update en la intranet no esta habilitada, ésta política no tiene efecto.

9- No reiniciar automáticamente en instalaciones de Actualizaciones automáticas (No auto-restart for scheduled Automatic Updates installations). Una vez instaladas las actualizaciones, la computadora no se reiniciará automaticamente.

Habilitada: AU no reiniciará la computadora automáticamente si un usuario está logueado. Solo notificará que debería reiniciarse el sistema.

Deshabilitada: AU notificará al usuario que la computadora se reiniciará en 5 minutos.

No configurada: Idem a deshabilitada.

Solo se aplica si las Actualizaciones Automáticas están configuradas para realizar una instalación programada.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

10- Volver a pedir la intervención del usuario para reiniciar con instalaciones (Re-prompt for restart with scheduled installations). Cantidad de tiempo que espera para volver a avisarle al usuario por una reiniciación pendiente.

Habilitada: la cantidad especificada.

Deshabilitada: 10 minutos.

No configurada: Idem a deshabilitada.

Solo se aplica si las Actualizaciones Automáticas están configuradas para realizar una instalación programada.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

11- Volver a programar la instalación programada de actualizaciones automáticas (Reschedule Automatic Updates scheduled installations). Para una instalación programada que no pudo realizarse.

Habilitada: se realizará la cantidad de minutos especificados después del inicio del sistema.

Deshabilitada: esperará a la próxima instalación programada.

No configurada: se realizará 1 minuto después del inicio del sistema.

Solo se aplica si las Actualizaciones Automáticas están configuradas para realizar una instalación programada.

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

12- Especificar la ubicación del servicio Microsoft Update en la intranet (Specify intranet Microsoft update service location).

Habilitada: deberemos ingresar la url de intranet donde está instalado el servidor de Actualizaciones. Deberemos ingresar la misma url en ambos campos.

Deshabilitada: el cliente de actualizaciones automáticas se conectará a internet (si las actualizaciones automáticas no están deshabilitadas)

Si la política Configurar actualizaciones automáticas está deshabilitada, ésta política no tiene efecto.

Siguiendo con el tema de herramientas para administrar las actualizaciones, presentamos el WSUS 3.0 que es la versión más reciente del ya conocido WSUS.

Para esta instalación, la base de datos la ubicaremos en un servidor y la aplicación en otro.

Prerequisitos

1) El servidor (FLD-AR-MGT-01) destinado al WSUS, deberá tener instalado lo siguiente:

• Windows 2003 Server con SP1 (o SP2)
• Internet Information Services (IIS) 6.0
• Background Intelligent Transfer Service (BITS) 2.0 (download)
• Microsoft .NET Framework Version 2.0 Redistributable Package (download)
• Microsoft Management Console 3.0 (download)
• Microsoft Report Viewer Redistributable 2005 (download)
• Windows Server Update Services 3.0 (download)

2) Para nuestro ejemplo, tenemos un servidor (FLD-AR-SQL-01) de base de datos separado, instalado de la siguiente forma:

• Windows 2003 Server con SP1 (o SP2)
• SQL Server 2005 Standard Edition con SP2

nota: puede utilizar la versión Express

• SQL Server 2005 Express Service Pack 2 (download)
• SQL Server Management Studio Express Service Pack 2 (download)

Debemos asegurarnos que el SQL Server soporte los triggers anidados (nested triggers), para ello realizaremos la siguiente consulta de sql:

osql -E -Q “sp_configure ‘nested triggers’“

si run_values está en 0, deberemos ponerlo en 1:

osql -E -Q “sp_configure ‘nested triggers’, 1“

osql -E -Q “RECONFIGURE“

Instalación

Los pasos para realizar la instalación son los siguientes:

En FLD-AR-MGT-01, logueado como administrador, vamos a start -> run y tipeamos WSUSSetup_x86.exe

En la pantalla de Bienvenida pulsamos Next

Ahora elegimos el modo de instalación, en nuestro caso Full y pulsamos Next

(como vemos en la figura, podemos instalar sólo la consola de administración)

Aceptamos los términos de la licencia y pulsamos Next

Seleccionamos la opción de almacenar las actualizaciones localmente y elegimos el directorio, en nuestro caso C:WSUS, y pulsamos Next

Elegimos usar un servidor de base de datos remoto, para ello ingresamos el nombre del mismo (FLD-AR-SQL-01) y pulsamos Next

Vemos como se conecta (caso contrario habrá que verificar si los servidores tienen correctamente configurada la red y el servicio de SQL está corriendo), pulsamos Next

Seleccionamos si usamos el sitio web por defecto (nuestro caso) o creamos uno nuevo y pulsamos Next

Vemos el resúmen de la instalación. Pulsamos Next

Comieza la instalación, cuando termina pulsamos Finish

Configuración

Usemos el wizard para realizar la configurar. Vemos la pantalla inicial y pulsamos Next

En esta pantalla seleccionamos si queremos unirnos al programa de mejoras de Microsoft. Pulsamos Next

Elegimos de donde queremos sincronizar este servidor, (elegimos Microsoft Update) y pulsamos Next

Si tenemos un proxy lo configuramos y pulsamos Next

Intentamos conectarnos con el Upstream Server pulsando Start Connecting

Si la conexión fue exitosa, pulsamos Next

Elegimos en que idiomas necesitamos las actualizaciones y pulsamos Next

Elegimos las actualizaciones de que productos queremos y pulsamos Next

Elegimos que tipo de actualizaciones vamos a bajar y pulsamos Next

Seleccionamos si la sincronización será manual o automática. En este último caso, seleccionamos cuando se ejecutará. Pulsamos Next

Si queremos que la sincronización inicial empiece de inmediato, marcamos la casilla, sino la dejamos en blanco y pulsamos Next

Terminamos la configuración pulsando Finish

Abrimos la consola desde Start -> All Programs -> Administrative Tools -> Microsoft Windows Server Update Services 3.0

Así concluimos con la instalación del WSUS 3.0. En breve veremos como configurar los clientes.

Podemos obsevar que la instalación es mucho más sencilla que la versión anterior.